Debido a que WhatsApp es la app de mensajería más utilizada en el mundo, la app de Meta se ha convertido en uno de los principales objetivos de los ciberdelincuentes para llevar a cabo sus estafas y ataques.
Para los malos es muy sencillo propagar sus fraudes en esta plataforma debido a que tienen muchas formas de hacerlo. Por ejemplo, con tener tu número de teléfono, o escribir uno aleatorio, ya puede iniciar una conversación contigo en la que se hacen pasar por alguien y te engañan.
Pero no es la única forma que tienen, y es que incluso son capaces de desarrollar ataques en los que el usuario no tiene ni que interactuar con ellos para caer. Estos son los más peligrosos, porque sin saberlo nos pueden llegar a robar los datos personales y bancarios a través de un virus malicioso.
Por esa razón, desde Pwn2Own han tirado la casa por la ventana dentro de su concurso anual de ciberseguridad Zero Day Initiative (ZDI) y están ofreciendo con el patrocinio de Meta una recompensa de hasta un millón de dólares para quien encuentre un exploit de ejecución remota de código (RCE) en la app sin necesidad de interacción del usuario, conocido en el sector como un ataque zero-click.
Esta enorme recompensa es la mayor jamás ofrecida en este concurso, y es que la categoría de WhatsApp ya se introdujo el año pasado, sin embargo, nadie se atrevió a intentarlo. "Tal vez un número con seis ceros proporcione la motivación necesaria", señalaron los organizadores de ZDI con ironía en su comunicado.
Para conseguirlo, los candidatos deben demostrar cómo el código malicioso se ejecuta sin que el usuario realice ninguna acción. Esto para nada es fácil, ya que se requiere un nivel técnico altísimo y una enorme responsabilidad, porque esta vulnerabilidad puede poner en jaque a los 3.000 millones de usuarios que tiene la app.
Esta práctica de ofrecer altas recompensas para quienes encuentren vulnerabilidades y errores es una práctica bastante extendida entre las compañías tecnológicas, ya que al final les sale más rentable tener a gente compitiendo y trabajando por encontrar estos fallos para ganar un concurso, que contratar a un equipo y pagarles por hacer lo mismo.
Si bien, un millón de dólares es mucho dinero, para una compañía como Meta no lo es. Y esta forma de buscar vulnerabilidades es muy beneficiosa para las empresas porque solo tendrán que pagar a una persona y recibirán numerosas (si las hay) fallas que deben solucionar de los otros concursantes también.